首例！美國國安局發現Win10漏洞後，通知微軟“打補丁”

微軟Windows 10操作係統。

近日，美國國家安全局（NSA）檢測到微軟Windows 10操作係統上的一個漏洞，並向微軟發出了警告。微軟於1月14日發布了一個補丁對其進行修複。

這是美國國家安全局第一次發現漏洞後通知企業並公開處理，過往的做法是密而不發，利用漏洞研發黑客工具。對此，微軟曾於2017年對美國國安局進行公開譴責。

據華爾街日報1月14日報道，此次發現的Windows漏洞，可能會被黑客利用以破壞、監視或幹擾目標計算機網絡。它利用了微軟使用數字簽名驗證軟件的真實性，以阻止惡意軟件被安裝到計算機上的設置，但該漏洞可能會允許黑客在係統檢測不出來的情況下安裝更強大的惡意軟件。

美國政府官員將該漏洞描述為特別嚴重，並表示微軟用戶應該立刻升級係統將其修複。當天，美國國家安全局新成立的網絡安全組組長Anne Neuberger表示：“我們建議網絡所有者立即發布補丁。”據她透露，美國國家安全局發現這個漏洞後立即通知了微軟。

微軟和美國國家安全局均表示，他們尚未找到證據證明該漏洞已被用於惡意目的。

美國國土安全部（DHS）1月14日同樣發布了一項緊急指令，指示美國聯邦機構采取一係列步驟，立即在係統上安裝補丁。美國國土安全部網絡和基礎設施安全局高級官員Bryan Ware表示，他們會與私營行業合作夥伴聯係，警告漏洞帶來的風險。

微軟高級主管Jeff Jones在一份聲明中稱：“一個安全升級已於2020年1月14日推出，自動或手動進行升級的消費者已經得到了保護。”

而實際上，此次美國國家安全局將漏洞通知微軟並公開處理，是破天荒的第一次。

據紐約時報1月14日報道，過去多年來，美國國家安全局收集各種形式的計算機漏洞，以獲取對數字網絡的訪問權限、收集情報、研發黑客工具等，用來對付美國的敵人。但是近年來，一些黑客工具落入了網絡犯罪份子和其他惡意行為者的手中，這令美國國安局遭到了嚴厲批評。

紐約時報報道稱，通過發現一個嚴重漏洞並領導對計算機係統進行更新，美國國安局似乎從美國政府的秘密機關向公共服務進行了一次不尋常的戰略轉變。此舉也表明，過去因放任漏洞傳播導致數億美元損失的指責，讓美國國安局舊傷未愈。

2017年，微軟曾經公開譴責美國國家安全局。

據華爾街日報報道，當時，利用Windows漏洞的美國國家安全局黑客工具被竊後泄露在網絡上，導致了一起全球性的網絡攻擊。

在這種情況下，微軟總裁Brad Smith發表了一篇博客文章，批評美國政府出於自身目的將漏洞保密，製造了強大的網絡武器，又失去了對它的控製權。Smith當時將這種情況比作“美國軍隊的戰斧導彈（Tomahawk）被偷走了”。

2017年底，特朗普政府發布了首個公開路線圖，概述了政府對美國國家安全局已發現的重要網絡安全漏洞的政策，通常這些漏洞都在流行的消費者軟件裏。這一文件為美國國家安全局發現漏洞後何時披露、何時保密，以用於未來可能進行的進攻行動提供了指導。

上述文件中稱，關於漏洞的合理處置（Vulnerabilities Equities Process）應“采用法律允許的最低保密級別”寫一份年度報告，其中包括一個提供給國會的“非保密級別的，盡可能短小的可執行摘要”。

然而，了解情況的人士介紹，幾年過去了，並沒有任何信息被公開，美國國會也沒有拿到非保密級別的細節，這令國會山感到沮喪。